SI – 702 Keamanan Sistem Informasi Akuntansi Pertemuan : 4

Pengendalian Internal

Dalam teori manajemen, kita mengetahui bahwa pengawasan merupakan salah satu fungsi yang perlu dilaksanakan di dalam pengelolaan suatu organisasi. Salah satu bentuk / cara pengawasan disebut “Sistem Pengendalian Internal”, yang melekat pada sistem dan prosedur organisasi tersebut.

Tujuan Sistem Pengendalian Internal:

—   mengamankan asset organisasi

—   memperoleh informasi yang akurat dan dapat dipercaya

—   meningkatkan efektivitas dan efisiensi kegiatan

—  mendorong kepatuhan pelaksanaan terhadap kebijaksanaan organisasi / pimpinan

Unsur Sistem Pengendalian Internal:

—    unsur rencana organisasi

—  unsur sistem otorisasi, dan prosedur pencatatan yang mampu menyelenggarakan pengawasan / administrasi asset, kewajiban dan biaya

—  unsur praktek yang sehat untuk dilaksanakan dalam penuaian tugas pada tiap bagian organisasi

—  unsur mutu personalia yang memadai sesuai dan bertanggungjawab

Sistem Pengendalian Internal pada Akuntansi & Administrasi:

—  Pengawasan akuntansi, meliputi rencana organisasi dan semua prosedur yang berhubungan langsung dengan pengamanan asset. Pada umumnya pengawasan akuntansi meliputi otorisasi, pemisahan tugas, pembukuan, pengawasan fisik dan pemeriksaan internal.

—  Pengawasan administratif, meliputi rencana organisasi dan semua cara serta prosedur yang menyangkut efisiensi usaha dan ketaatan terhadap kebijakan pimpinan perusahaan dan pada umumnya tidak langsung berhubungan dengan pembukuan.

Pengendalian Akuntansi  disusun untuk memberikan jaminan yang cukup dengan tujuan:

—  transaksi – transaksi dilaksanakan sesuai dengan pengesahan manajemen  secara umum maupun khusus

—    tansaksi – transaksi dicatat untuk :

    - memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip                           

      akuntansi yang diterima secara umum dan kriteria lain untuk laporan                        

      keuangan

    -  menunjukan pertanggung jawaban atas  aktiva                             

—  akses aktiva hanya diizinkan jika sudah sesuai dengan otorisasi yang diberikan oleh manajemen

—  pemeriksaan atas aktiva (menurut catatan) dibandingkan dengan aktiva

                (menurut fisik) pada setiap waktu tertentu dan diambil tindakan yang perlu jika terjadi perbedaan

Elemen Sistem Pengendalian Internal

—  Lingkungan pengendalian, tindakan, kebijakan dan prosedur yang mencerminkan sikap manajemen puncak atas pentingnya pengendalian internal

—  Penetapan resiko oleh manajemen, analisis oleh manajemen atas resiko yang mungkin terjadi agar relevan dengan prinsip akuntansi yang berlaku secara umum

—  Sistem komunikasi dan informasi akuntansi, metode yang digunakan untuk mengidentifikasi, mencatat dan melaporkan transaksi untuk menjamin akuntabilitas aktiva

—  Aktivitas pengendalian, pada sistem manual dikategorikan menjadi :

    - otorisasi yang memadai atas transaksi / kegiatan

    - adanya pemisahan tugas yang memadai

    - adanya dokumentasi yang memadai

    - adanya pengendalian yang memadai atas akses dan penggunaan aktiva

    - adanya verifikasi independen oleh unit yang terpisah

—  Pemantauan, penilaian efektifitas rancangan operasi struktur pengendalian internal secara periodik dan berkelanjutan

Tujuan Sistem Pengendalian Internal

—  Menyajikan data yang dapat dipercaya

—  Mengamankan asset dan pembukuan

—  Meningkatkan efisiensi operasional

—  Mendorong pelaksanaan kebijakan yang ada

Pengendalian Internal  yang Berkualitas dalam Pembukuan

—  Setiap transaksi yang dicatat adalah sah (validitas)

—  Setiap transaksi dilakukan otorisasi yang tepat (otorisasi)

—  Setiap transaksi yang terjadi dicatat (kelengkapan)

—  Setiap transaksi dinilai dengan tepat (penilaian)

—  Setiap transaksi diklasifikasikan dengan tepat (klasifikasi)

—  Setiap transaksi dicatat pada waktu yang tepat (ketepatan waktu)

—  Setiap transaksi di posting pada akun yang sesuai

Pentingnya Sistem Pengendalian Internal

—  Perkembangan kegiatan dan skala perusahaan yang menyebabkan kompleksitas struktur, sistem dan prosedur yang semakin rumit. Untuk mengawasi operasi perusahaan, manajemen hanya mengandalkan kepercayaan atas berbagai laporan dan analisa.

—  Tanggung jawab utama untuk melindungi asset perusahaan, mencegah dan menemukan kesalahan serta kecurangan – kecurangan terletak pada manajemen, sehingga manajemen harus mengatur sistem pengawasan internal yang sesuai untuk memenuhi tanggung jawab tersebut.

—   Pengawasan oleh lebih dari satu orang (saling memeriksa) merupakan cara yang tepat untuk menutup kekurangan – kekurangan yang bisa terjadi pada manusia. Saling cek ini merupakan salah satu karakteristik sistem pengendalian internal yang baik.

—  Pengawasan yang “built-in” langsung pada sistem berupa pengendalian internal yang baik dianggap lebih tepat daripada pemeriksaan secara langsung dianggap lebih tepat daripada pemeriksaan secara langsung dan detail oleh pemeriksa.

Keterbatasan Sistem Pengendalian Internal

—  Persekongkolan, pengendalian internal mengusahakan agar persekongkolan dapat dihindari sejauh mungkin, misalnya dengan rotasi jabatan, melarang penanganan tugas oleh karyawan yang memiliki hubunan kekeluargaan, kewajiban mengambil cuti, dll. Tetapi pengendalian internal tidak dapat menjamin bahwa persekongkolan dapat dihindari sepenuhnya.

—  Biaya, pengendalian juga harus mempertimbangkan biaya dan kegunaannya.

—  Kelemahan manusia, banyak kecurangan terjadi pada sistem pengendalian internal yang secara teoritis sudah baik. Hal tersebut dapat terjadi karena lemahnya pelaksanaan yang dilakukan oleh personil yang bersangkutan.

Pihak yang Berkepentingan

—  Manajemen perusahaan

—  Dewan komisaris, auditor internal, dll

—  Karyawan perusahaan

—  Pemerintah

—  Auditor Eksternal

SI-702 Kemanan Sistem Informasi Berbasis Internet Pertemuan : 3

Kemanan Sistem Informasi Berbasis Internet

Masalah keamannan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan para pengelola system informasi. Apabila keamanan mengganggu performansi dari system,  seringkali keamanan dikurangi atau ditiadakan. Informasi saat ini sudah menjadi sebuah komoditi yang penting. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi perusahaan.

Kemanan Sistem Informasi Berbasis Internet

Jaringan komputer seperti LAN (Local Area Network) dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Ini salah satu alasan perusahaan membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet. Terhubungnya LAN atau computer ke Internet membuka potensi resiko keamanan (security risk) yang tadinya dapat dicegah dengan mekanisme keamanan secara fisik. Hal ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan system informasi itu sendiri. Semakin tinggi tingkat keaman, semakain sulit (tidak nyaman) untuk mengakses informasi.

Jumlah kejahatan computer (computer crime), terutama yang berhubungan dengan system informasi, akan terus meningkat dikarenakan beberapa hal antara lain :

—  Mudahnya diperoleh software untuk menyerang computer dan jaringan computer. Internet yang menyediakan software yang dapat langsung diambil (download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan. Beberapa program seperti bahkan hanya membutuhkan sebuah web browser untuk menjalankannya. Sehingga, seseorang yang dapat menggunakan web browser dapat menjalankan program perusak.

—  Kesulitan dari penegak hukum untuk mengejar kemajuan dunia computer dan telekomunikasi yang sangat cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada sebuah sistem yang tidak memiliki ruang dan waktu.

—  Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program yang digunakan sehingga semakin besar kemungkinan terjadinya resiko keamanan.

—  Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan computer yang global seperti internet. Hal ini membuka akses dari seluruh dunia. Potensi sistem informasi yang dapat diretas menjadi lebih besar.

—  Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line Banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia. Demikian pula di berbagai penjuru dunia aplikasi e-commerce terlihat mulai meningkat.

—  Disentralisasi server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar ke seluruh lokasi. Padahal mencari operator dan admistrator yang handal adalah sangat sulit.

—  Transisi dan single vendor ke multi-vendor sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.

—  Meningkatnya kemampuan pemakai di bidang computer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakan atau sistem milik oreng lain. Jika dahulu akses ke komputer sangat sukar, maka sekarang computer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta di rumah-rumah.

Kejahatan computer dapat digolongkan yang sangat berbahaya sampai yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan dapat diklasifikasikan menjadi 4 yaitu :

—  Keamanan yang bersifat fisik (physical security), termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat computer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untu mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah ditemukan coretan password yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat digunakan ke dalam kelas ini. Denial of Service, yaitu akibat yang ditimbulkan sehingga service tidak dapat diterima oleh pemakai juga dapat dimasukkan kedalam kelas ini. Denial of Service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah jumlah banyak pesan).

—  Keamanan yang bersifat fisik (physical security), termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat computer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untu mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah ditemukan coretan password yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan juga dapat digunakan ke dalam kelas ini. Denial of Service, yaitu akibat yang ditimbulkan sehingga service tidak dapat diterima oleh pemakai juga dapat dimasukkan kedalam kelas ini. Denial of Service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah jumlah banyak pesan).

—  Keamanan yang berhubungan dengan orang (personel), termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan sIstem informasi bergantung kepada manusia (pemakai dan pengelola).  Ada sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh criminal untuk berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya criminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar menjadi kata lain.

—  Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software

—  Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang criminal dapat memasang virus atau Trojan sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.

—  Keamanan dalam operasi. Termasuk prosedur yang digunakan untuk mengatur dan mengelola system keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).

Keamanan computer (computer security) melingkupi 4 aspek yaitu privacy, integrity, authentication, dan availability. Selain keempat hal diatas, masih ada 2 aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce yaitu access control dan non-repudiation.

—  Privacy / confidentiality Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kerarah data-data yang sifatnya private sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu. Contoh hal yang berhubungan privacy adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, Bagama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya. . Contoh lain confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider (ISP)

—  Integrity Aspek ini menenkankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) ditengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan kealamat yang dituju. Dengan kata lain integritas dan informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

—  Authentication Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli. Masalah pertama membuktikan keaslian dokumen, dapat dilakukan dengan teknologi Watermarking dan digital signature. Watermarking juga dapat digunakan untuk menjaga “intellectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia pengguna yang sah, misalnya dengan menggunakan password, biometric (ciri-ciri khas orang ), dan sejenisnya. Authentication biasanya diarahkan kepasa orang (pengguna), namun tidak pernah ditunjukkan oleh server atau mesin.

—  Availability Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. SIstem informasi yang diserang dapat menghambat atau menghapus akses ke informasi. Contoh hambatan serangan yang disebut “denial of service attack” (DOS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain adalah adnya mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakana ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.

—  Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) & user (guest, admin, top manager, dsb), mekanisme authentication dan juga privacy. Access control seringkali dilakukan dengan menggunakan kombinasi user id/password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics).

—  Non –repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seorang mengirimkan e-mail untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature, certificates, dan teknologi kriptografi secara umum dapat menjaga aspek ini.

Hackers, Crackers dan Etika

Untuk mempelajari masalah keamanan, ada baiknya juga mempelajari aspek dari pelaku yang terlibat dalam masalah keamanan ini, yaitu para Hackers dan Crackers.

—  Isitilah Hackers sendiri masih belum baku karena bagi seorang hackers masih konotasi positif, sedangkan bagi sebagian yang lain memiliki konotasi negatif. Bagi kelompok yang pertama (old school), untuk pelaku yang jahat biasanya disebut crackers. Batas antara Cracker dan Hacker sangat tipis. Batasan ini ditentukan oleh etika , moral dan integritas dari pelaku sendiri.

—  Untuk sistem yang berdomisili di Indonesia secara fisik maupun lojik ancaman keamanan dapat datang dari berbagai pihak. Berdasarkan sumbernya, ancaman dapat dikategorikan yang berasal dari luar negeri dan yang berasal dari luar negeri. Ancaman yang berasal dari luar negeri contohnya adalah Hacker Portugal yang mengobrak-abrik beberapa website milik pemerintahan Indonesia.

Berdasarkan motif dari para perusak, ada yang berbasis politik, ekonomi dan juga yang hanya ingin mencari ketenaran. Masalah poloitik nampaknya sering menjadi alasan untuk menyerang sebuah sistem (baik di dalam maupun di luar negeri). Beberapa contoh dari serangan yang menggunakan alasan politik antara lain:

—  Serangan dari hackers Portugal yang mengubah isi dari beberapa website milik pemerintah Indonesia dikarenakan hacker tersebut tidak setuju dengan apa yang dilakukan dengan pemerintah Indonesia di Timor Timur. Selain mengubah isi website, mereka juga mencoba merusak sistem yang ada dengan menghapus seluruh disk (jika bisa).

—  Serangan dari hackers Cina dan Taiwan terhadap beberapa website Indonesia atas kerusakan di Jakarta (Mei 1998) yang menyebabkan etnis Cina di Indonesia mendapat perlakuan yang tidak adil. Hackers ini mengubah beberapa website Indonesia untuk menyatakan ketidaksukaan mereka atas apa yang terjadi.

—  Beberapa hackers di Amerika menyatakan akan merusak sistem milik  pemerintah Iraq ketika terjadi ketegangan politik antara Amerika dan Iraq.

Interpretasi Etika Komputasi

                                Salah satu hal yang membedakan antara crackers dan hackers, atau antara Computer Underground dan Computer Security Industry adalah masalah etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki interpretasi yang berbeda terhadap suatu topik yang berhubungan dengan masalah computing. Kembali, Paul Taylor melihat hal ini yang menjadi basis pembeda keduanya. Selain masalah kelompok, kelihatannya umur juga membedakan pandangan (interpretasi) terhadap suatu topik. Salah satu contoh, Computer Security Industry beranggapan bahwa Computer Underground masih belum memahami bahwa “computing” tidak sekedar permainan dan mereka (maksudnya CU) harus melepaskan diri dari “playpen”.

                                Perbedaan pendapat ini dapat muncul di berbagai topik. Sebagai contoh, bagaimana pendapat anda tentang memperkerjakan seorang hacker sebagai kepala keamanan sistem informasi anda? Ada yang berpendapat bahwa hal ini sama dengan memperkerjakan penjarah (gali, preman) sebagai kepala

Interpretasi Etika Komputasi

keamanan setempat. Jika analogi ini disepakati, maka akibat negatif yang ditimbulkan dapat dimengerti. Akan tetapi para computer underground berpendapat bahwa analogi tersebut kurang tepat. Para computer underground berpendapat bahwa hacking lebih mengarah ke kualitas intelektual dan jiwa pionir. Kalau dianalogikan, mungkin lebih ke arah permainan catur dan masa “wild west” (di Amerika jaman dahulu).

                                Perbedaan pendapat juga terjadi dalam masalah “probing”, yaitu mencari tahu kelemahan sebuah sistem. Computer security industry beranggapan bahwa probing merupakan kegiatan yang tidak etis. Sementara para computer underground menganggap bahwa mereka membantu dengan menunjukkan adanya kelemahan dalam sebuah sistem (meskipun system tersebut bukan dalam pengelolaannya). Kalau dianalogikan ke dalam kehidupan sehari-hari (jika anda setuju dengan analoginya), bagaimana pendapat anda terhadap seseorang (yang tidak diminta) yang mencoba-coba membuka-buka pintu atau jendela rumah anda dengan alasan untuk menguji keamanan rumah anda.